Spotify sufrió ayer un ataque global debido a -lo has adivinado- un archivo SSL/TLS caducado. Parece que cada mes (incluso cada semana) es un enjabonar, enjuagar y repetir.
Interrupciones causadas por expirado SSL/TLS certificados ocurren mucho más a menudo de lo que aparece en los titulares, y pueden pueden manifestarse de muy diversas maneras.
A principios de este año, Microsoft Teams failed renovar a certificado de autenticación de clientedejando millones de usuarios bloqueados al empezar a trabajar desde casa. La semana pasada en California, un certificado caducado causó subnotificación de casos de COVID-19.
En este caso, los usuarios de Spotify no pudieron acceder a al popular servicio de música en streaming, y miles de ellos (unas 4.000 conversaciones) acudieron a twitter utilizando el hashtag #spotifydown - todo debido a un certificado caducado.
No eres solo tú, @Spotify está caído para todos. #SpotifyDown pic.twitter.com/dlreaqeQW7
- Johnny Blasé (@vorpalblaze) 19 de agosto de 2020
Todo lo que hace falta es uno
La mayoría de las organizaciones tienen decenas o incluso cientos de miles de estos SSL/TLS certificados en su entorno. Mantener el ritmo de emisión emisión y renovaciones a esta escala cualquier cosa menos fácilespecialmente teniendo en cuenta que la mayoría de los equipos de métodos manuales para rastrearlos.
Basta con que se produzca un vencimiento inesperado para que tenga que arreglar una costosa avería. Sin embargo, algunos líos son más difíciles de solucionar que otros. de limpiar que otros. Esto se debe porque los certificados no sólo hay que renovarlos, también a menudo necesitan actualizarse en múltiples servidores web, servidores de aplicaciones y otras ubicaciones de la red que dependen de ellos.
Si existe un certificado existe en varias ubicaciones, es fácil olvidar dónde debe instalarse. instalarse. Esto resulta especialmente problemático con certificados comodín.
Parece que @Spotify olvidó renovar su certificado TLS 🙁 *.wg.spotify.com #ssl #cert https://t.co/wclmzVMpTJ pic.twitter.com/rRzFHPeuEE
- Louis (@lpoinsig) 19 de agosto de 2020
Certificados comodín: Un arma de doble filo
SSL/TLS certificados suelen utilizarse para verificar la confianza entre sitios web públicos y el navegador web de su dispositivo. En términos sencillos, si visita un sitio web con un certificado SSL/TLS , la dirección empezará por "https://" en lugar de "https://"(el s significa seguro). Cada uno de estos certificados tiene una fecha de caducidad, a partir de la cual hay que actualizarlos y sustituirlos.
La mayoría de las empresas no tienen un solo sitio websin embargo, tienen varios dominios y subdominios (por ejemplo, keyfactor.com, info.keyfactor.com, blog.keyfactor.com, etc.). Por eso algunas organizaciones, o determinados grupos dentro de ellas, optan por utilizar certificados comodín.
En lugar de adquirir varios certificados SSL/TLS de una autoridad de certificación pública (CA) para cada subdominio, puede utilizarse un único certificado comodín puede utilizarse para proteger un sitio web y todos sus subdominios. Esto puede ser conveniente, ya que necesita inscribirse para menos certificados para su infraestructura.
Sin embargo, es un arma de doble filo, porque sin una adecuada gestión del ciclo de vida de los certificadospuede ser difícil saber si ha sustituido el certificado en todas las ubicaciones en las que debe actualizarse, todo al mismo tiempo. También crea problemas de seguridad, ya que un único certificado comodín podría poner en peligro toda su infraestructura si se ve comprometido.poner en peligro toda su infraestructura.
En la mayoría de los casos, recomendamos no utilizar certificados comodín, simplemente por el elevado riesgo de interrupción o infracción que podría provocar.
El caso en cuestión - Spotify
Ahora volvamos a Spotify. Un vistazo rápido a Registros de transparencia de certificados de Google (véase la imagen de abajo) muestra que el certificado certificado que causó este fue, de hecho, un certificado comodín. ¿Cómo se sabe? El asterisco junto al nombre de dominio (CN=) es lo que lo delata.
Recomendaciones
Para evitar por completo esta situación, debería limitar el uso de certificados comodín en su organización. No obstantehay ciertas situaciones en las que pueden ser beneficiosos. En cualquier caso deberá debe asegurarse de tener visibilidad de todos los certificados de su organización y disponer de procesos para renovarlos antes de que caduquen.
A continuación algunos puntos clave:
- Limite el uso de certificados comodín en su organización
- Mantener un inventario inventario de certificadoss de su entorno, incluyendo (como mínimo) la longitud de la clave, el algoritmo hash, la caducidad, la ubicacións, y el propietario del certificado
- Garantizar que las claves privadas se almacenan y protegidas de acuerdo con las mejores prácticas
- Automatice la renovación y el aprovisionamiento de certificados para evitar caducidades inesperadas
No es ningún secreto que las herramientas de automatización del ciclo de vida de los certificados como Keyfactor Command están diseñadas para satisfacer estas necesidades (y muchas más). El rápido crecimiento del número de claves y certificados en las organizaciones ha dejado obsoletos los métodos manuales y caseros. Sin embargo, antes de buscar herramientas, es importante definir sus necesidades.
¿Cuál es tu grado de madurez?
Si no está seguro de por dónde empezar, identificar su situación actual es un buen comienzo.
Descargar el Modelo de Madurez de Gestión de Certificados para ver cómo se compara su organización con las mejores prácticas y obtenga recomendaciones prácticas para mejorar sus procesos.
